Please enable JavaScript.
Coggle requires JavaScript to display documents.
УПРАВЛІННЯ РИЗИКАМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ. ISO/IEC 27005 (Цілі аналізу…
УПРАВЛІННЯ РИЗИКАМИ ІНФОРМАЦІЙНОЇ
БЕЗПЕКИ. ISO/IEC 27005
Процес аналізу ризиків
оцінка можливих втрат через використання або залежності від технології АІС
аналіз потенційних загроз і вразливих місць системи, що впливають на оцінки можливих втрат
вибір оптимальних за ціною заходів і засобів захисту, які скорочують ризик до прийнятного рівня
міжнародні керівництва та національні стандарти з управління ризиками
ISO Guide 73:2002 "Risk management" на його основі ГОСТ Р 51897- 2002 - це всього лише «терміни та визначення»
BSI PD 3002 "Guide to BS 7799 risk assessment" - послужила основою для стандарту 27005 (фактично увійшла більша його частина)
NIST SP 800-30 "Risk Management Guide for Information Technology Systems" - один з найкорисніших в цій галузі. Він докладно описує сам процес
аналізу ризиків і надає основні рекомендації з управління ризиками
Австралійсько-Новозеландський AS/NZS 4360:2004 ($ 99.94 NZD) і супутній документ HB 436, "Risk Management Guidelines - Companion to AS/NZS 4360:2004" ($ 99.94 NZD)
Цілі аналізу ризиків
Ризики ІБ ідентифіковані
Ризики ІБ оцінені в термінах наслідків для бізнесу та ймовірності їх появи
Вірогідність і наслідки цих ризиків, повідомлені та сприйняті
Пріоритет обробки (зниження) ризиків встановлені і дії щодо зниження ризиків були здійснені
Причетні сторони (Stakeholder) залучаються при прийнятті рішень з управління ризиками. Вони завжди інформуються про статус управління ризиками
Ефективність обробки (зниження) ризиків відстежується
Збирається інформація для поліпшення управління ризиками
Класи активів
обладнання (фізичні ресурси)
програмне забезпечення (системне, прикладне, утиліти, інші допоміжні програми)
інформаційні ресурси (бази даних, файли, всі види документації)
системні інтерфейси (зовнішні і внутрішні можливі сполуки)
люди, які користуються і підтримують IT систему (в штаті/контракт)
місія IT системи (system mission) - процес, що виконується IT системою
сервіс і підтримуюча інфраструктура (обслуговування засобів ОТ, енергопостачання, забезпечення кліматичних параметрів і т.п.)
Етапи оцінки ризиків
Context Establishment
Risk Analysis (аналіз ризику)
Risk Identification
Risk Estimation
Risk Evaluation
Risk Treatment
Фази управління ризиками
Оцінка ризиків, що включає аналіз і оцінювання ризиків
Обробка ризику - вибір і реалізація заходів і засобів безпеки
Контроль ризиків шляхом моніторингу, тестування, аналізу механізмів безпеки, а також аудиту системи
Оптимізація ризиків шляхом модифікації і оновлення правил, заходів і засобів безпеки
Поняття
Загроза безпеки (Threat) - в широкому сенсі - потенційне порушення безпеки. В системах обробки даних - потенційна дія чи подія, яка може призвести до порушення одного або більше аспектів безпеки інформаційної системи
Уразливість (Vulnerability) - слабкість в системі захисту , вона робить можливою реалізацію загрози. Вона пов'язана з «природою активів» або оточуючими умовами ( в т.ч. з використовуваними контролями)
Контролі (контрзаходи, controls) - сервіси ІБ або спеціальні механізми, розроблені для протистояння певну загрозу/уразливості
Інформаційна безпека - захист конфіденційності, цілісності та доступності інформації (ГОСТ Р ІСО/МЕК 17799-2005)